Os desenvolvedores do gerenciador de senhas de código aberto KeePass explicam que uma vulnerabilidade que permite a um invasor roubar todas as senhas de usuários não é tão perigosa. O fato é que os desenvolvedores consideram que se um invasor controlar o seu sistema, então este não é mais o seu sistema.
Por falar nisso, ler: É seguro usar um gerenciador de senhas em 2022? E também: Especialistas descobriram vulnerabilidades em gerenciadores de senhas populares.
Você também pode estar interessado em saber que Apenas 26% dos usuários concordaram em alterar sua senha quando souberam que ela estava comprometida.
KeepPass é um gerenciador de senhas popular que permite gerenciar senhas usando um banco de dados armazenado localmente, em vez da nuvem, como Última passagem ou Bitwarden. Para proteger esses bancos de dados locais, os usuários podem criptografá-los com uma senha mestra para que o malware ou um invasor que tenha entrado no sistema não possa simplesmente roubar o banco de dados e obter acesso automático a todos os dados armazenados nele.
Uma vulnerabilidade encontrada no KeePass (CVE-2023-24055) e permite que invasores com acesso de gravação ao sistema de destino modifiquem o arquivo XML de configuração do KeePass e injetar um gatilho malicioso nele que permitirá que o banco de dados do gerenciador de senhas seja exportado, incluindo todos os nomes de usuário armazenados lá e senhas em formato de texto simples.
Aquilo é, na próxima vez que a vítima iniciar o KeePass e inserir a senha mestra para abrir e descriptografar o banco de dados, o “marcador” para exportação funcionará, e todo o conteúdo do banco de dados será salvo em um arquivo separado que os invasores poderão ler e roubar. Nesse caso, o processo de exportação é executado em segundo plano sem notificar o usuário e solicitar uma senha mestra, o que permite que o invasor passe despercebido.
Pior ainda, o Exploração PoC para CVE-2023-24055 já foi publicado em domínio público, o que torna muito mais fácil para os desenvolvedores de malware atualizarem seus infostealers e criarem malware que pode roubar bancos de dados KeePass de dispositivos comprometidos.
Depois que a vulnerabilidade se tornou conhecida, os usuários estão pedindo à equipe de desenvolvimento do KeePass para pelo menos adicionar um confirmação obrigatória para o gerenciador de senhas que seria solicitado antes de exportar automaticamente o banco de dados, ou publicar uma versão do aplicativo que não contém a função de exportação de forma alguma.
Propõe-se também adicionar um bandeira personalizada ao programa para desabilitar a exportação dentro do banco de dados KeePass real, que só poderia ser alterado conhecendo a senha mestra.
No entanto, a equipe de desenvolvimento do KeePass tem seu próprio ponto de vista sobre esse assunto. Na opinião deles, CVE-2023-24055 geralmente deve ser classificado como uma vulnerabilidade, dado que um invasor que já possui acesso de gravação ao dispositivo alvo pode obter informações do banco de dados KeePass de muitas outras maneiras.
Na verdade, na central de ajuda do KeePass, o problema de acessar o arquivo de configuração com permissão de gravação foi mencionado repetidamente desde pelo menos abril 2019. E lá, também, é relatado que “esta não é uma vulnerabilidade de segurança no KeePass.”